OpenBaoにおけるSQL インジェクションの脆弱性
| Title |
OpenBaoにおけるSQL インジェクションの脆弱性
|
| Summary |
OpenBaoはオープンソースのアイデンティティベースのシークレット管理システムです。バージョン2.5.3以前では、OpenBaoがPostgreSQLデータベースシークレットエンジンのロールの権限を取り消す際に、PostgreSQLから提供されたスキーマ名に対して適切なデータベースの引用を行っていませんでした。これにより、ロールの権限取り消しが失敗する可能性があり、まれに管理ユーザーとしてSQLインジェクションが発生する可能性もありました。この脆弱性は元々HashiCorp Vaultに由来していました。この脆弱性はバージョン2.5.3で修正されました。暫定対応として、テーブルスキーマを監査し、データベースユーザーが新しいスキーマを作成したり、それらに対して権限を付与できないようにしてください。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 21, 2026, midnight |
| Registration Date |
April 27, 2026, 10:48 a.m. |
| Last Update |
April 27, 2026, 10:48 a.m. |
|
CVSS3.0 : 警告
|
| Score |
4.9
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月27日]
掲載 |
April 27, 2026, 10:48 a.m. |
NVD Vulnerability Information
CVE-2026-39946
| Summary |
OpenBao is an open source identity-based secrets management system. Prior to version 2.5.3, when OpenBao revoked privileges on a role in the PostgreSQL database secrets engine, OpenBao failed to use proper database quoting on schema names provided by PostgreSQL. This could lead to role revocation failures, or more rarely, SQL injection as the management user. This vulnerability was original from HashiCorp Vault. The vulnerability is addressed in v2.5.3. As a workaround, audit table schemas and ensure database users cannot create new schemas and grant privileges on them.
|
| Publication Date |
April 21, 2026, 10:16 a.m. |
| Registration Date |
April 25, 2026, 4:02 a.m. |
| Last Update |
April 24, 2026, 10:28 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:openbao:openbao:*:*:*:*:*:*:*:* |
|
|
|
2.5.3 |
Related information, measures and tools
Common Vulnerabilities List